OSS-Fuzz能够针对开源软件进行持续的模糊测试,它的目的是利用更新的模糊测试技术与可拓展的分布式执行相结合,提高一般软件基础架构的安全性与稳定性。OSS-Fuzz结合了多种模糊测试技术/漏洞捕捉技术(即原来的libfuzzer)与清洗技术(即原来的AddressSanitizer),并且通过ClusterFuzz为大规模可分布式执行提供了测试环境。
过程概述以下过程用于OSS-Fuzz中的项目:
开源项目或外部志愿者的维护者创建一个或多个模糊目标,并将它们与项目的构建和测试系统集成。
该项目被OSS-Fuzz接受。
当ClusterFuzz发现错误时,OSS-Fuzz问题跟踪器中会自动报告问题(示例)。(为什么有不同的跟踪?)。项目所有者对错误报告负责。
Bug修复。
ClusterFuzz自动验证修复,添加注释并关闭问题(示例)。
问题会公开(指南)
评论